악성 파일 정보

[악성코드 분석] atotal3.exe (게임 실행화면 탈취, 파일 생성실행)

atotal3.exe 악성코드 분석 보고서  

 


1. 개요


1.1. 파일정보


구분

내용

파일명

atotal3.exe

파일크기

438,272 byte

진단명

Trojan/W32.Agent.438272.SW

악성동작

게임 실행화면 탈취, 파일 생성실행

네트워크

115.**.***.158 에서 다운로드












1.2. 유포경로


atotal3.exe 는 네이트 피싱사이트 nete.kr(115.**.***.158)에서 유포되었다. 정상 사이트(nate.com)와 URL이 비슷한 피싱사이트는 접속 시 정상 사이트와 외관이 동일하기 때문에 이용자가 쉽게 정상 사이트로 착각할 수 있다.


피싱 사이트는 정상 사이트의 정보를 그대로 가져와 보여주지만 페이지 소스코드를 살펴보면 세 개의 악성함수가 숨겨져 있으며, 이 함수를 통해 악성코드를 다운받을 수 있다.






[
그림] 정상 사이트(위)와 피싱사이트(아래)




[그림피싱사이트 소스코드 내 악성 함수







2. 분석정보


2.1. 실행 과정


악성코드 atotal3.exe는 최초 실행 시 다른 여러 악성파일을 System32폴더 하위에 생성하고 각각 실행시킨다재부팅 이후에는 atotal3.exe가 아닌 새로 실행된 프로세스로부터 또 다른 파일들이 생성 및 실행되며일련의 악성 파일들은 아래에서 확인할 수 있다.


파일 명

특징

atotal3.exe

최초 악성파일복구 방해

ghoO119.exe

복구 방해

rvmsv.exe

정보유출(은닉)

winNetSc.exe

서비스다운로드(a****0*.org/inh1mvp/mpxp.exe)

mpxp.exe

 

rcvmsu.exe

정보유출(은닉)

ocmrc32.exe

정보유출(은닉)

ntsvcnet32.exe

정보유출(은닉)

nthost32.exe

정보유출(은닉)

wmxmic.exe

다운로드(a****0*.org/inh1mvp/x)

winNetSc.exe

반복 실행 구조


[
생성 및 실행되는 파일들





atotal3.exe로부터 최초 실행 된 winNetSc.exe는 “Network State Protection check”, “윈도우 네트란 이름으로 위장하여 악성 서버 http://a****0*.org/inh1mvp/mpxp.exe 로 부터 mpxp.exe를 다운로드 및 실행하는 역할을 한다.





3. 악성 동작

3.1. 생존주기 연장 (복구 방해)

만약 PC에 실행 중인 프로세스 중 irpor.exe  remon.exe가 있을 경우 atotal3.exe는 세 개의 dll파일을 System32폴더에 생성한다. irpro.exe remon.exe PC복구에 사용되는 롤백 프로그램 ComBack 5 의 실행파일이다.

생성된 dll파일 중 2개 파일은 정상파일이며, ExtDLL32.dll 파일은 PC복구에 사용될 것으로 보이는 외부함수 Recover32가 아무런 기능을 하지 않도록 수정되어 있다.



[
그림정상파일과 생성파일 비교



[그림정상()과 악성() ExtDLL32.dll 파일의 외부함수, Recover32 비교





ghoO119.exe 또한 시스템 복구 방해 동작을 한다. D드라이브 하위 모든 폴더에 .gho 확장자를 갖는 파일이 있으면 이 확장자를 .GH0(0은 숫자)로 변경하고 숨김 속성을 부여한다. .gho확장자는 PC 롤백 프로그램 Ghost 가 사용하는 이미지 파일의 확장자이다확장자를 변경함으로써 Ghost 프로그램이 롤백에 필요한 이미지 파일을 찾을 수 없게 만든다.

이후 srclient.dll 모듈의 외부함수 DisableSR을 호출하는데이 함수는 시스템 복원(System Restore)을 하지 않도록 설정한다.



[그림확장자 변경 gho -> GH0

 



[그림시스템 복원 설정 변경





3.2. 생존주기 연장 (반복 실행업데이트)

Network State Protection check”란 이름으로 위장한 악성 서비스 파일 winNetSc.exe 은 파일을 다운받아 실행한다다운로드 된 mpxp.exe 파일은 여러 새로운 파일을 System32폴더 하위에 생성하고 실행시킨다이 동작은 감염 즉시 나타나지 않고 재부팅이 되어야만 동작한다.


wmxmic.exe

ocmrc32.exe

rcvmsu.exe

ntsvcnet32.exe

nthost32.exe

mp119.bat (자가삭제용)


[
다운로드 된 mpxp.exe가 새로 생성하는 파일들

 



이 파일 중 wmxmic.exe는 동일 악성 서버 http://a****0*.org/inh1mvp/x 로 부터 또 다른 파일을 다운받아 실행하는데이 파일은 최초 생성된 악성파일 winNetSc.exe와 동일한 파일이다.

이처럼 악성파일은 반복 실행 구조를 갖고 있기 때문에모든 악성 프로세스를 동시에 종료하고 치료하지 않는 이상 치료가 되지 않는다또한 반복적으로 다운로드실행 하기에 언제든지 새로운 악성코드로 교체될 여지가 남아있다.

 



[
그림반복 실행 구조

 


3.3. 게임관련 정보 탈취

은닉상태로 실행되는 모든 프로세스들은 각종 게임 프로세스에 대한 실행화면 유출 동작을 수행한다공격 대상 프로세스 및 유출정보 전송 서버 주소는 아래와 같다일반적인 PWS형 악성코드가 로그인 정보를 탈취하는 것과 달리사행성 게임을 목표로 하는 이 악성코드는 게임의 실행 화면을 캡쳐하여 유출한다.

 

 

복호화 전

복호화 후

공격 대상

oojeq;aacuji;b`dtgh;fortnp;m`tfo;bfbfg`md;

poker;baduki;badugi;gostop;matgo;bgdggame;

전송 서버

2905484:8A8==A

27.***.***.113:8001


[
악성 행위 대상 프로세스 및 전송 서버







4. 결론


atotal3.exe는 안티 백신 보다 PC복구 방해를 통한 감염 지속에 초점을 맞추고 있다이러한 특징은 PC방 등 많은 사람이 사용하는 영업용 PC에 더 위협적으로 다가온다. PC방에서 사용하는 PC는 보통 실시간 감시 기능을 사용하지 않고재부팅 될 때 마다 PC를 복구(롤백)하는 방식으로 시스템을 유지한다특히 공격 대상 중 하나인 ComBack 5의 경우, PC방 관리 프로그램 제작업체에서 만든 전용 유틸리티기도 하다.

맞고포커 등 사행성 게임의 게임 머니 또한 다른 게임 아이템과 마찬가지로 현금 거래가 가능하다특히나 이 경우비밀번호를 탈취하여 자산을 빼돌리는 것이 아닌게임화면을 캡쳐하는 방식으로 동작하기 때문에 로그인 알림, OTP 등의 계정 보안 서비스와는 무관하게 피해를 입을 수 있다

잉카인터넷 안티바이러스 제품 nProtect Anti-Virus Spyware V3.0 nProtect Anti-Virus/Spyware V4.0에서 진단 및 치료가 가능하다.





[그림] nProtect Anti-Virus/Spyware V4.0 악성코드 검사 화면





[그림] nProtect Anti-Virus/Spyware V3.0 악성코드 검사 화면



댓글

댓글쓰기